Изследователи в областта на сигурността изказват предположението, че нарастващият брой експлойти на критичната уязвимост в Log4J скоро може да се влоши, тъй като киберпрестъпниците продължават да намират нови начини за заобикаляне на продължаващото прилагане на мерките на Microsoft за борба с фишинга.

Въведена през 2022 г., след като ИТ общността я изискваше в продължение на години, Microsoft блокира по подразбиране активирането на VBA макроси в документите на Office.

Това означаваше, че един от водещите методи за разпространение на зловреден софтуер чрез документи на Office и фишинг имейли на практика беше обезсилен – голяма придобивка за защитниците.

Оттогава насам изследователите от ESET забелязват ръст на експлойтите, насочени към уязвимостта Log4J, в целия свят.

Въпреки че причината за увеличаването на опитите засега не е ясна за изследователите, съществува вероятност киберпрестъпниците да търсят нови начини за извършване на атаки, тъй като сега фишингът със злонамерени документи е станал по-труден.

Изследователите на ESET заявиха, че макар и да е само теория, това нарастване може да продължи, тъй като киберпрестъпниците търсят ефективни начини за постигане на целите си, след като една от най-предпочитаните им тактики е била осуетена.

„Ако погледнете цифрите в световен мащаб, [през 2022 г.] видяхме 166 милиона атаки… а през 2023 г. броят им се увеличаваше с 13%“, каза Ондрей Кубович, специалист по осведоменост за сигурността в ESET, относно последните данни за опитите за експлойт на Log4J.

„Така че, знаейки, че се въвеждат нови системи с Log4J, и нашата статистика показва това, тогава можем да кажем, че Log4J все още е интересен за атакуващите, а със затварянето на VBA [макросите] и затварянето на OneNote, това може да се влоши.“

Последните данни на Log4J

Въпреки че Log4Shell не е толкова опустошителен, колкото общността първоначално смяташе, че ще бъде, той продължава да бъде силно експлоатиран – вторият най-използван метод за експлоатиране според телеметрията на ESET, след отгатването на пароли.

Очаква се популярността на експлоатирането на уязвимостта да нарасне не само заради антифишинг мерките на Microsoft, но и заради броя на уязвимите изтегляния, които все още се правят.

В своя доклад за заплахите T3 2022 ESET заяви, че цели една четвърт от всички нови изтегляния на библиотеката Log4J са от уязвимата версия, въпреки че от декември 2021 г. са налични поправени и защитени версии.

Данните на IBM обрисуват още по-мрачна картина, като показват, че почти половината (40%) все още са уязвими към дефекта, който получи максимална оценка 10/10 по скалата за сериозност CVSSv3.

Само през последните седем дни 32% от изтеглянията на Log4J са били на уязвимата версия, показват данните на Sonatype.

Към септември 2022 г. броят на блокираните опити за експлойт на Log4J в Обединеното кралство е 13,4 милиона, съобщиха от ESET, което е приблизително 12% от 166-те милиона опити в световен мащаб.

Това представлява 15% увеличение на годишна база, което като цяло е в съответствие с данните за страните по света.

Данните за Полша са едни от най-високите от всички страни в света с 30% увеличение на атаките.

ESET не можа да предложи окончателно обяснение за тези значително високи опити за атаки, както и полският национален екип за реагиране при компютърни инциденти (CERT) след консултация с изследователите по сигурността.

Приблизително по това време украинският CERT издаде предупреждение, в което предупреждава за промяната на тактиката на Русия, която предпочита експлоатирането на уязвимости в противовес на техниките за атака, използвани по-рано в конфликта, въпреки че не е установена силна връзка между дейността на страната и експлойтите Log4J в Полша.

Блокиране на макроси VBA: Доколко е ефективно?

През годината, откакто Microsoft въведе промените в документите на Office, блокирайки макросите VBA по подразбиране, данните показват драстично намаляване на атаките.

Данните на Proofpoint от края на 2022 г. показват 66% спад на опитите за атаки с макроси – тенденция, която продължава и през първата половина на 2023 г., като макросите „почти не се появяват“ в данните за кампаниите.

„Екосистемата на киберпрестъпността преживя монументална промяна в активността и поведението на заплахите през последната година по начин, който досега не е наблюдаван от изследователите на заплахите, заявиха от компанията за сигурност.

„Финансово мотивираните участници в заплахите, които получават първоначален достъп чрез електронна поща, вече не използват статични, предсказуеми вериги за атаки, а по-скоро динамични, бързо променящи се техники.“

Констатациите в данните на Proofpoint бяха потвърдени и от изследователите на ESET в частни медийни брифинги.

Атакуващите се насочват към OneNote

След като Microsoft прекрати използването на макроси в документите на Office, нападателите скоро осъзнаха, че приложението за водене на бележки OneNote на компанията може да бъде използвано по подобен начин, както Word и Excel преди 2022 г.

По-рано тази година различни фирми за сигурност съобщиха за увеличаване на броя на атаките, свързани с файловете на OneNote, които все още позволяват вграждането на различни файлове в документите, включително изпълними файлове.

В типичен сценарий на жертвата се изпраща имейл, към който е прикачен предимно празен документ от OneNote.

Атакуващите създават голямо текстово поле с надпис „Щракнете, за да отворите документа“ или подобно съобщение, но зад това текстово поле се намират редица връзки към пакетни файлове, които ще бъдат щракнати и изпълнени, ако жертвата щракне върху текстовото поле, което служи само за скриване на злонамерените бутони.

В някои примери поредица от пакетни файлове се стартира, като изтегля други подобни файлове и изпълнява PowerShell код, което в крайна сметка води до инсталиране на зловреден софтуер и по същество заобикаля блокирането на VBA макросите.

В пример, изтъкнат от Fortinet през март 2023 г., подобна атака е довела до пускането на AsyncRAT, който е успял да поеме пълен контрол над машината на жертвата.

През същия месец Microsoft въведе подобрени мерки за сигурност за OneNote, включително по-чести и ясни предупреждения при отваряне на потенциално зловредни файлове.

Седмици по-късно тя обяви също, че ще блокира по подразбиране 120 файлови разширения, често използвани в злонамерени кампании, като допълнителна мярка срещу фишинга, използващ нейния софтуер за производителност.

Сега се появиха нови опасения във връзка с въвеждането на нови домейни от първо ниво (ДПН).

Експертите по киберсигурност и преди са критикували новите допълнения, включително такива като .zip, тъй като те могат да бъдат използвани в кампании, като потенциално правят зловредните връзки да изглеждат по-легитимни, отколкото са в действителност.

Изследователите на ESET заявиха пред ITPro, че макар настоящите данни да не показват значително увеличение на атаките, използващи новите TLD, те „разбират загрижеността“.

Източник: itpro.co.uk

Подобни публикации

23 януари 2025

Кибератаките влизат в топ 10 на рисковете за бъ...

Според Барометъра на риска на Алианц бизнесът в България определя к...
23 януари 2025

Тръмп помилва създателя на пазара на наркотици ...

Едва на втория ден от встъпването си в длъжност президентът Тръмп п...
23 януари 2025

Тръмп отменя правилата на Байдън за развитието ...

Президентът Доналд Тръмп отмени заповедта на бившия президент Джо Б...
22 януари 2025

Продуктите за сграден контрол на ABB са засегна...

Изследовател твърди, че е открил над 1000 уязвимости в продукти, пр...
22 януари 2025

Над 380 000 долара са изплатени през първия ден...

Инициативата Zero Day Initiative (ZDI) на Trend Micro обяви резулта...
22 януари 2025

Бомбени заплахи в училища от цяла България

Десетки училища в цялата страна получихабомбени заплахи.. По първон...
22 януари 2025

Хиперволуметричните DDoS атаки зачестяват

Най-голямата до момента разпределена атака за отказ на услуга (DDoS...
22 януари 2025

Тръмп уволнява Съвета за киберсигурност

В писмо, изпратено днес, изпълняващият длъжността секретар на Минис...
Бъдете социални
Още по темата
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
21/01/2025

Злоупотреба с услугите на M...

Наблюдавани са две отделни заплахи, които...
21/01/2025

2025: Управление на повърхн...

Бизнес трансформацията предефинира управлението на повърхността...
Последно добавени
23/01/2025

Кибератаките влизат в топ 1...

Според Барометъра на риска на Алианц...
23/01/2025

Тръмп помилва създателя на ...

Едва на втория ден от встъпването...
23/01/2025

Тръмп отменя правилата на Б...

Президентът Доналд Тръмп отмени заповедта на...
Ключови думи

Абонамента е почти завършен.

На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.

Моля, проверете електронната си поща за да потвърдите.

Благодарим за доверието!